Ein Überblick über die Bedeutung und Bestandteile des Colorado AI Act
•
•
5 Minuten Lesezeit
Themen
Am 17. Mai 2024 unterzeichnete der Gouverneur von Colorado, Jared Polis, den Colorado Artificial Intelligence Act („CAIA“). Der CAIA ist ein bedeutender Meilenstein für die KI-Regulierung in den USA, da er das erste gesetzliche Regelwerk auf Bundesstaatsebene ist, das ein breites Spektrum an KI-Systemen abdeckt. Obwohl ein ähnlicher Gesetzentwurf in Connecticut nicht verabschiedet wurde, ist es wahrscheinlich, dass andere Bundesstaaten Colorados Beispiel folgen und den Einsatz von KI im weiten Umfang regulieren werden.
Wie unterscheidet sich der CAIA vom EU AI Act (KI-Gesetz)?
Der CAIA weist in dreierlei Hinsicht Ähnlichkeiten mit dem EU AI Act auf.
Erstens beziehen sich die meisten Anforderungen in beiden Gesetzen auf hochriskante KI-Systeme. Zweitens lässt sich die Konformität mit beiden Gesetzen in erheblichem Maße durch die Einhaltung von Standards wie ISO/IEC 42001 (KI-Managementsysteme) nachweisen. Drittens fordern beide Gesetze Folgenabschätzungen für hochriskante Systeme.
Es gibt jedoch auch mindestens zwei wesentliche Unterschiede zwischen dem CAIA und dem EU AI Act.
Erstens gehen die Anforderungen des EU AI Act tiefer als die des CAIA. Der CAIA, der sich in erster Linie mit algorithmischer Diskriminierung befasst, schließt mehrere gängige Arten von KI-Systemen aus seiner Definition von hochriskanten KI-Systemen aus. Zudem befreit er Anwender mit weniger als 50 Mitarbeitern unter bestimmten Voraussetzungen von vielen seiner Anforderungen.
Zweitens treten die meisten Bestimmungen des CAIA wesentlich früher in Kraft als der Großteil des EU AI Act. Unternehmen haben knapp 20 Monate Zeit, die CAIA-Konformität herzustellen, da das Gesetz am 1. Februar 2026 wirksam wird. Im Vergleich dazu treten die Anforderungen des EU AI Act für hochriskante Systeme erst Mitte 2026 in Kraft, 24 Monate nach seiner Veröffentlichung im Amtsblatt der EU.
Welche KI-Systeme fallen unter den CAIA?
Der CAIA gilt für Entwickler und Anwender von KI-Systemen, die in Colorado geschäftlich tätig sind. Ein Entwickler ist eine Partei, die ein KI-System entwickelt oder wesentliche und bewusste Änderungen daran vornimmt, während ein Anwender eine Partei ist, die ein hochriskantes KI-System einsetzt.
Gemäß dem CAIA gilt ein KI-System als hochriskant, wenn es bei seinem Einsatz „eine folgenschwere Entscheidung trifft oder einen wesentlichen Faktor bei der Entscheidungsfindung darstellt“. Eine folgenschwere Entscheidung ist eine Entscheidung, die „eine wesentliche rechtliche oder vergleichbar erhebliche Auswirkung auf die Gewährung oder Verweigerung von Leistungen bzw. auf die Kosten oder Bedingungen“ in Bezug auf Bildungsangebote, Beschäftigungsverhältnisse, Finanz- und Kreditdienstleistungen, wesentliche staatliche Dienstleistungen, Gesundheitsdienstleistungen, Wohnraum, Versicherungen oder juristische Dienstleistungen für Verbraucher hat. Zudem sind bestimmte KI-Systeme von der Kategorie „hochriskant“ ausgenommen.
Wie wird der CAIA durchgesetzt?
Der Generalstaatsanwalt von Colorado besitzt die ausschließliche Zuständigkeit für die Durchsetzung sowie für die Bereitstellung von Richtlinien und Leitfäden hierzu. Der CAIA sieht kein privates Klagerecht vor. Leitet der Generalstaatsanwalt von Colorado ein Durchsetzungsverfahren ein, gilt für den Anwender die „widerlegbare Vermutung“, dass er angemessene Sorgfalt zum Schutz der Verbraucher vor algorithmischer Diskriminierung walten ließ, sofern er über eine Richtlinie und ein Programm zum Risikomanagement verfügt, die dem NIST AI Risk Management Framework („AI RMF“) oder ISO/IEC 42001 entsprechen. Darüber hinaus steht einem Unternehmen in einem Durchsetzungsverfahren eine „positive Einrede“ (affirmative defense) zu, wenn es einen CAIA-Verstoß aufgrund von Feedback, gegnerischen Tests (Adversarial Testing) oder Red Teaming (gemäß den Definitionen von NIST) oder durch ein internes Überprüfungsverfahren entdeckt und behebt und „ansonsten mit dem“ NIST AI RMF und ISO/IEC 42001 konform ist.
Weitere Informationen zur Entwicklung einer Richtlinie und eines Programms für das Risikomanagement erhalten Sie in unserem kostenlosen und umfassenden Leitfaden zur Erstellung einer KI-Richtlinie hier.
Welche Anforderungen stellt der CAIA an Entwickler und Anwender hochriskanter KI-Systeme?
Der CAIA verpflichtet Entwickler und Anwender zu „angemessener Sorgfalt“, um Personen vor bekannten oder vorhersehbaren Risiken algorithmischer Diskriminierung zu schützen, und verlangt, dass sie die Nutzung hochriskanter KI-Systeme auf ihrer Website offenlegen.
Entwickler müssen den Generalstaatsanwalt von Colorado sowie bekannte Anwender ohne unangemessene Verzögerung und innerhalb von 90 Tagen über alle bekannten oder vernünftigerweise vorhersehbaren Risiken algorithmischer Diskriminierung informieren. Anwender sind verpflichtet, den Generalstaatsanwalt von Colorado unverzüglich, spätestens jedoch innerhalb von 90 Tagen zu benachrichtigen, sobald sie Kenntnis davon erlangen, dass ein System eine algorithmische Diskriminierung verursacht hat.
Entwickler müssen „eine allgemeine Erklärung abgeben, in der die vernünftigerweise vorhersehbaren Einsatzzwecke sowie bekannte schädliche oder ungeeignete Verwendungszwecke des Systems beschrieben werden“, und die dazugehörige Dokumentation bereitstellen.
Anwender sind verpflichtet, jährlich sowie innerhalb von 90 Tagen nach einer „bewussten und wesentlichen Änderung“ des KI-Systems Folgenabschätzungen für hochriskante KI-Systems durchzuführen.
Anwender müssen eine Richtlinie und ein Programm für das Risikomanagement implementieren. Sie müssen Personen vor dem Einsatz eines KI-Systems zur Entscheidungsfindung über folgenschwere Entscheidungen informieren, ihnen die Grundlagen solcher Entscheidungen erläutern, die Möglichkeit zur Korrektur fehlerhafter personenbezogener Daten im Zusammenhang mit diesen Entscheidungen einräumen und Widerspruchsverfahren bereitstellen.
Kennzeichnungspflicht für alle KI-Systeme
Während sich die meisten Anforderungen des CAIA auf hochriskante KI-Systeme beziehen, gilt die Kennzeichnungspflicht für alle KI-Systeme, die für die Interaktion mit Personen bestimmt sind. Bei solchen Systemen muss der Entwickler oder Anwender der betroffenen Person offenlegen, dass sie mit einem KI-System interagiert, es sei denn, dies ist für eine vernünftige Person „offensichtlich“.
Enzai steht Ihnen zur Seite
Das Produkt von Enzai unterstützt Ihr Unternehmen bei der Einhaltung der Anforderungen in Colorado, des NIST AI RMF, der ISO/IEC 42001, des EU AI Act sowie anderer globaler Regulierungs- und Compliance-Vorgaben. Um mehr zu erfahren, kontaktieren Sie uns bitte hier.
Enzai ist die führende Plattform für die KI-Governance in Unternehmen (Enterprise AI Governance) und wurde speziell entwickelt, um Organisationen beim Übergang von abstrakten Richtlinien zur operativen Aufsicht zu unterstützen. Unsere Plattform für das KI-Risikomanagement bietet die spezialisierte Infrastruktur, die für die Verwaltung der agentischen KI-Governance, die Führung eines umfassenden KI-Inventars und die Gewährleistung der Konformität mit dem EU AI Act erforderlich ist. Durch die Automatisierung komplexer Workflows ermöglicht Enzai es Unternehmen, die Einführung von KI vertrauensvoll zu skalieren und gleichzeitig die Übereinstimmung mit weltweiten Standards wie ISO 42001 und NIST zu wahren.
Ermöglichen Sie Ihrer Organisation die Einführung, Steuerung und Überwachung von KI mit unternehmensgerechtem Vertrauen. Entwickelt für regulierte Organisationen, die im großen Maßstab operieren.